GitLab发布了关键安全更新来修复多个漏洞,包括一个可能允许攻击者以任意用户身份运行管道作业的高严重性漏洞。
该公司强烈建议所有 GitLab 安装立即升级到最新版本:社区版(CE)和企业版(EE)的 17.1.2、17.0.4 或 16.11.6。
最严重的漏洞 (CVE-2024-6385) 影响 GitLab 版本 15.8 至 17.1.1。该漏洞的 CVSS 评分为 9.6,在某些情况下,攻击者可以以其他用户的身份触发管道。该问题是由名为 yvvdwf 的用户通过 GitLab 的 HackerOne 漏洞赏金计划报告的。
除了严重缺陷之外,GitLab 还解决了其他几个安全问题:
- 一个中等严重漏洞(CVE-2024-5257),允许具有 admin_compliance_framework 权限的开发人员更改组 URL。
- 一个低严重性问题(CVE-2024-5470),具有 admin_push_rules 权限的用户可以创建项目级部署令牌。
- 与 NPM 包中的清单混淆相关的包注册表漏洞(CVE-2024-6595) 。
- 一个低严重性漏洞(CVE-2024-2880)允许具有 admin_group_member 权限的用户禁止群组成员。
- GitLab Pages 中存在子域名接管漏洞(CVE-2024-5528) 。
GitLab.com 和 GitLab Dedicated 已开始运行修补版本。该公司强调保持良好安全卫生的重要性,并建议所有客户升级到其支持版本的最新修补版本。
这些安全修复是 GitLab 定期发布周期的一部分,其中包括每月第二个和第四个星期三两次发布补丁。对于严重程度较高的漏洞,GitLab 还会发布临时关键补丁。
该公司表示,每个漏洞的详细信息将在发布补丁 30 天后在其问题跟踪器上公布。这种方法让用户有时间在潜在漏洞细节被广泛传播之前升级。
除了安全修复之外,最新版本还包括跨不同 GitLab 组件的各种错误修复和改进,例如 Git、MailRoom、CI/CD 管道和 Redis 集成。
Synopsys 软件完整性小组研究员 Ray Kelly表示:
“在当今快节奏的 DevSecOps 世界中,任何提及管道功能漏洞的事情都肯定会让你毛骨悚然。一旦管道被攻破,软件就会被恶意软件、后门程序篡改,或被用来窃取组织的私人信息。
这很难检测到,因为安全扫描通常在 SDLC 流程的早期进行。鉴于最近备受瞩目的供应链漏洞,很明显,组织需要立即修补漏洞,以防止威胁者破坏其软件。
此外,在管道内引入安全扫描可以帮助在部署之前检测到问题。”
与往常一样,建议用户遵循最佳实践来保护他们的 GitLab 实例,并尽快升级以减轻潜在风险。
